特定のプロトコルバージョン内の暗号スイートを制限する
IISを実行しているWindowsサーバー2012 R2で、弱いプロトコルバージョン、つまりTLS1.0内の弱い暗号を無効にする必要があります。暗号スイートはプロトコルに関連付けられていることを理解しています。つまり、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384はTLSに固有のものです。 regeditで暗号スイートを無効にすることはできますが、TLSバージョン1.0に対してのみ無効にすることはできません。
コンテキスト
IIS8.5の強化の一環としてTLS1.0を無効にする必要がありますが、ビジネス要件のため、残念ながら無効にすることはできません(制御できないクライアントマシンではTLS1.2が有効になっていません)。次善の策は、企業が必要としないTLS1.0の暗号をできるだけ無効にすることです。
誰かが光を当てることはできますか?
理論的には、TLSスタックが一般的なTLSスタックのような構成を提供することは可能ですが、これは許可されません。プロトコルのバージョンを制限したり、暗号を制限したりできますが、特定のプロトコルバージョンの暗号のみを制限することはできません。
次善の策は、TLS1.0の弱い暗号を無効にすることです。
暗号が弱い場合は、TLS 1.0だけでなく、すべてのプロトコルバージョンで暗号を無効にする必要があります。 TLS 1.0では弱いと考えられているが、TLS 1.2では強いと考えられている暗号があるかどうかはわかりません。